单纯的防病毒软件已死？（今天偶然看到的，卡饭里好像没有，就转来看看）

懒人要奋斗

摘要：赛门铁克（Symantec）信息安全高级副总裁布莱恩·戴伊（Brian Dye）今年年初宣告，提供系统保护的杀毒软件已经死亡，此言一出，立刻了引起了轩然大波。



关于“杀毒软件已死”的预言说了多少年，杀毒软件却依然持续保护着系统安全和网络安全。

赛门铁克（Symantec）信息安全高级副总裁布莱恩·戴伊（Brian Dye）今年年初宣告，提供系统保护的杀毒软件已经死亡，此言一出，立刻了引起了轩然大波。然而，尽管杀毒软件的有效性近年来一直在不断衰退，还是有安全专家认为，由这位几乎可以与杀毒软件齐名的公司高管对杀毒软件进行死刑宣判还为时尚早。

杀毒软件力不从心

当然，随着恶意软件复杂性的不断增长，仅使用基于特征的杀毒软件作为系统保护，必定是力不从心的。“一半以上的威胁，我们的杀毒软件都阻止不了，”赛门铁克产品营销副总裁钱德拉·兰根（Chandra Rangan）说。“我们一直试图在引导人们，告诉他们说，如果只有基于特征的杀毒软件是不够的。”

在当今威胁四伏的环境中，基于特征的杀毒软件本身虽然并不能提供足够的保护，但它对于系统安全仍然做着重大的贡献。“如果你去任何一家财富1000强企业，说‘杀毒软件已死，把它们都从系统中删除吧’，你一定会被很多的安全专员嘲笑的，”英特尔安全公司（原迈克菲McAfee）首席技术策略师布莱恩·凯尼恩（Brian Kenyon）表示。“事实上，即使是现在的这种形式，杀毒软件也是可以阻止很多病毒的。”

“事实上，即使是现在的这种形式，杀毒软件也是可以阻止很多病毒的。”

——英特尔安全公司首席技术策略师布莱恩·凯尼恩

凯尼恩接着说，在系统保护中，阻止威胁只是防病毒工作的一部分。“除了对病毒进行阻止，杀毒软件还要对病毒进行清理，将它们从系统中清除。但是，如果你问‘当前杀毒软件的架构和能力就是我们行业的未来吗’，我肯定会说，当然不是，但我并不认为杀毒软件已死。”

有杀毒能力的杀毒软件已死

将杀毒软件的定义限定为基于特征的防病毒软件对于杀毒技术而言可能是不公正的。“杀毒软件不是依据是否基于特征定义的，而是依据可以防止的恶意软件定义的，”独立测试服务机构NSS实验室研究主管兰迪·艾布拉姆斯（Randy Abrams）说。“只基于特征，并且只有杀毒能力的杀毒软件，从上个世纪九十年代确实就已经死了。”

具有恶意软件防御能力的杀毒软件在企业中依然持续有效，甚至和最新的在线防御平台，如漏洞防御系统（BDS）一样强大。“漏洞防御系统是用来快速检测和控制每个企业已经遭遇或即将遭遇到的安全漏洞的，”艾布拉姆斯解释说。最初的漏洞防御系统产品就是这样设计的，它还需要IT工作人员对发现的问题进行清理。“于是杀毒软件供应商开始抓住机会，提供一个完整的端到端解决方案，结果就是，本来只做漏洞防御系统的供应商不得不在他们的系统中添加恶意软件检测和修复功能。”

宣告杀毒软件已死早就不是什么新鲜事了。比如早在2006年，Hurwitz & Associates机构就发布了一份题为《杀毒软件已死》的报告。分析师罗宾·布卢尔（Robin Bloor）在报告中坚称，杀毒软件将被利用白名单从运算场景清除恶意软件的工具所取代。如今，白名单确实在某些环境中得到了有效的利用，但它也有它的缺点。

“对于控制环境，如零售POS系统、制造系统和卫生系统等，白清单确实是一个伟大的解决方案，”凯尼恩说。“你可以说什么应用程序运行良好，并且白名单之外的任何东西都无法运行，所以恶意软件根本无法存活。”但将白名单引入到消费者或企业终端用户环境中时，它的维护成本是难以承担的，因为终端用户会不断地向他们的设备中添加应用程序。“这就是为什么我们还没有在用户环境中看到大量的白名单。对于服务器，对于数据中心，对于控制零售环境，这是一套伟大的方案，但对于传统的台式机和笔记本电脑，这会是一个挑战，”凯尼恩补充道。

就像启示录的预言那样，杀毒软件的反对者还会继续预言杀毒技术的末日。终端安全提供商Bromium联合创始人兼首席执行官高拉夫·班加（Gaurav Banga）说:“布莱恩·戴伊是对的，杀毒软件确实已经死了。”班加引用了其公司在六月份面向300名信息安全专业人士对杀毒软件满意度进行的一项调查，数据显示，占85%的大多数专业人士都不相信，杀毒软件可以阻止针对特定目标的攻击，比如高级持续性威胁（APT）和网络钓鱼，而这些攻击在当前威胁环境中占绝大部分。

此外，杀毒软件对于多态攻击和零日漏洞攻击也是无效的，这些同样是攻击者惯用的手段。这些都是在基于特征的杀毒软件动作之前就对系统进行劫持的立竿见影的攻击方法。“安全研究人员要检测到新的威胁并写入新的特征往往需要几天的时间，这就给了多态攻击完全足够的时间来变更它的代码，”班加说。“当高级攻击分分钟就可以完事的同时，基于特征的杀毒软件要检测到这些攻击却还需要几天的时间。”

杀毒软件并不是无能的

针对杀毒软件无法应对复杂威胁的批评并不是最近才有的。七月，新加坡COSEINC安全咨询机构的一名研究员称，许多杀毒软件本身就包含漏洞，实际上让安装了这些杀毒软件的系统更容易受到攻击。研究员Joxean Koret解释说，杀毒软件的防病毒引擎通常都以系统的最高权限运行。在防病毒引擎中利用漏洞将为攻击者提供root权限或系统访问权限。这种攻击的攻击面会非常大，因为这种攻击必须支持文件格式的长列表。而要处理所有的文件类型，杀毒软件就会使用文件格式解析器，而文件格式解析器通常都会有漏洞。

不过，班加指出，“杀毒软件或许会继续为那些通常没有多少健壮保护需求的消费者或善于管理更多功能产品的消费者提供服务。但是，”他补充道，“有安全意识的组织已经开始从杀毒软件解决方案中过渡出来了。”

当然，还是有人坚信，杀毒软件并不像批评者说的那样无能。思科系统安全业务集团的一名威胁研究员詹森·舒尔茨（Jaeson Schultz）称，杀毒软件在过去五年里已经得到了演变并可以提供更多的防护。杀毒软件不仅增加了更多的启发式功能，使它可以更有效地应对不明特征的威胁，而且也可以阻挡各种恶意软件，如rootkit、远程访问木马（RAT）、键盘记录器、间谍软件、广告软件、乃至“可能不必要的应用程序”。杀毒软件甚至还可以保护用户免受包括电子邮件、社交媒体和通过网络传播的文件等各种恶意软件载体的威胁。

“没有杀毒软件作为未来安全的一部分，我们就会渐渐放弃保护端点和移动设备的想法，造成成千上万的人在网络罪犯面前任凭摆布。”——北美卡巴斯基实验室董事总经理克里斯·道根（Chris Doggett）

“这是一场装备竞赛，”舒尔茨说。“随着漏洞利用程序新途径的不断升级，新的反击功能也会构建到杀毒软件里面。宣称杀毒软件已死，当然是太过夸张了，许多人仍然依靠杀毒软件作为多层防御必不可少的一个组成部分。”

虽然那些耸人听闻的关于杀毒软件已死的言论言过其实，那些关于杀毒软件无所不能论调同样也是夸大其词。正如北美卡巴斯基实验室董事总经理克里斯·道根认为的那样，“网络攻击在数量上和复杂性上将持续增长，杀毒软件也将一直会是用户和组织大型安全解决方案中应对网络攻击的的一个组成部分。”

“没有杀毒软件作为未来安全的一部分，我们就会渐渐放弃保护端点和移动设备的想法，造成成千上万的人在网络罪犯面前任凭摆布。”



ps：这篇文很多网站都有，具体来源未知，这是复制it之家的

神州浪子

杀毒软件不会死的。
但现在的杀软跟以前的杀软，感觉真的不是同一个东西了。

1654637359

有人转过了好像

驭龙

Symantec的原文章，本意是说传统Anti Virus产品已经无法满足现在的网络安全需求，而需要全面功能的新产品，那篇文章的本意是称赞和推广Symantec的全新产品-Norton Security系

BarbraStreisand

抱歉，早就转过了，而且起码是去年的事了

柯林

严重同意楼主观点，杀毒软件不升级为保护伞公司，简直弱爆了，衰透了！
严重建议，所有杀毒软件公司，彻底介入安全阵线，升级为保护伞公司：
1、自动切断数据下载，实施数据过滤，最好是从保护伞公司的数据库接入数据
2、接管软件商店，所有授权用户安装的软件，必须从保护伞公司的在线商店取得，其安全性由保护伞公司内部审核通过，凡是因审核造成恶意软件错当正常软件的，由保护伞公司负责对用户赔偿并罚款
3、用户计算机内运行的程序，凡是不从在线商店取得的，一律无条件铲除，必要时恢复“初始设置”
4、为了节省物力财力，小软件不加以审核与收录，只将广为流传的大软件进行审核入库摆上货架
5、扩大保护伞覆盖范围，对网页和服务器进行审核，凡是存在恶意软件的，一缕掐断，直到清除恶意软件为止
要言之：保护伞公司的横空出世，意味着所有小作坊、地下黑产链、无信誉、无授权、无公证产品的时代结束，骇客、骇客组织、喜欢写恶意软件的个人、不按软件正规化组织拟定的正规软件制作规范所出品的软件，一律被迫转为自娱自乐（在你自己的计算机上玩玩可以，想流出去害人没门）！

我真的是好人

上次看的时候，宝宝还没高考呢

饭@avast

500年前的文章了。无非是铁壳在自吹自擂。

懒人要奋斗

1654637359 发表于 2015-8-11 09:23
有人转过了好像

哦，我刚才搜了下没搜到，可能标题不一样吧……

懒人要奋斗

驭龙 发表于 2015-8-11 09:43
Symantec的原文章，本意是说传统Anti Virus产品已经无法满足现在的网络安全需求，而需要全面功能的新产品， ...

这样啊，居然是推广